パスワードの運用（利用者編）：ITproに引続き管理者編です。

先の利用者編では色々な方面からツール使用のほうがいいんじゃないの？ってお話を頂いたりしましたが、
パスワードをユーザサイドで変更してもらう場合、ユーザさんがツールを使用してパスワードを決めるってことになるので...ぅーん。
とか、悩んだんですが、コマンドでやっちゃうにしたら、特殊なツール要らないぢゃん。て、思ったけど、権限アドミソ必要だ（涙
やっぱ、全台ツールかなぁ...
と、いう話はおいておいて。今回の管理者編について。

    

        ●パスワードを運用する際，管理者側では次のことに気をつける必要がある。
　「ロックアウトの設定をしておく」，「パスワードの有効期限や長さを設定する」，「同じパスワードの再利用を認めない」。

●パスワードの運用規則は，基本的に人間の記憶能力の範囲内でしか設定できない。
　どうしても厳しい規則を適用しなければならない場合は，コストをかけてでもほかの対策を検討する必要がある。
    
ぅんぅん。実際に運用できる範囲でってのは大事だと思います。
規則は大事ですが、最初から出来ない規則を立てるより、少しずつハードルアップのほうが良いんじゃないかなぁ。
ただ、最初のロックアウト設定、有効期限、長さ、文字の規則、再利用の拒否など、ポリシーで出来ることはしておいてあげましょう。
    

        5 ミニッツ セキュリティ アドバイザ - 正しいパスワード ポリシーを選択する(Microsoft)に、

最低限、パスワードは 45 日おき程度に変更する必要があり、少なくとも 8 文字で構成されるパスワードが要求され、
パスワードは要求する複雑さを満たす設定がオンになっていることを確認して下さい。
    
という一文がありますが、せめてその程度はしておきたいものです。
参考：ステップバイステップ ガイド : Windows Server 2003 Active Directory における強力なパスワード ポリシーの強制